Reklame
To-faktor-godkendelse (2FA) er en af de mest udbredte fremskridt inden for online sikkerhed. Tidligere denne uge, der brød nyheder om, at det var blevet hacket.
Grant Blakeman - en designer og ejer af @gb Instagram-kontoen - vågnede for at finde hans Gmail-konto var kompromitteret, og hackere havde stjålet hans Instagram-håndtag. Dette til trods for, at 2FA var aktiveret.
2FA: Den korte version
2FA er en strategi for at gøre online-konti sværere at hacke. Min kollega Tina har skrevet en god artikel om hvad 2FA er, og hvorfor du skal bruge det Hvad er tofaktorautentisering, og hvorfor du skal bruge denTo-faktor-godkendelse (2FA) er en sikkerhedsmetode, der kræver to forskellige måder at bevise din identitet på. Det bruges ofte i hverdagen. For eksempel kræver betaling med et kreditkort ikke kun kortet, ... Læs mere ; Hvis du ønsker en mere detaljeret introduktion, skal du tjekke den ud.
I en typisk enfaktorautentiseringsopsætning (1FA) bruger du kun en adgangskode. Dette gør det utroligt sårbart; hvis nogen har din adgangskode, kan de logge ind som dig. Desværre er dette opsætningen, som de fleste websteder bruger.
2FA tilføjer en yderligere faktor: typisk en engangskode, der sendes til din telefon, når du logger ind på din konto fra en ny enhed eller placering. En person, der prøver at bryde ind på din konto, skal ikke kun stjæle din adgangskode, men også i teorien have adgang til din telefon, når de prøver at logge ind. Flere tjenester, som Apple og Google, implementerer 2FA Lås disse tjenester nu ned med tofaktorautentiseringTo-faktor-godkendelse er den smarte måde at beskytte dine online konti. Lad os se på nogle af de tjenester, du kan låse ned med bedre sikkerhed. Læs mere .
Grants historie
Grants historie ligner meget den kabelførte forfatter Mat Honans. Mat havde hele sit digitale liv ødelagt af hackere, der ønskede at få adgang til hans Twitter-konto: han har brugernavnet @mat. Tildeling på lignende måde har to bogstaver @gb Instagram-konto hvilket gjorde ham til et mål.
På hans Ello-konto Grant beskriver, hvordan han, så længe han har haft sin Instagram-konto, har behandlet uopfordrede e-mails med nulstillet adgangskode et par gange om ugen. Det er et stort rødt flag, som nogen prøver at hacke til din konto. Lejlighedsvis fik han en 2FA-kode til den Gmail-konto, der var knyttet til hans Instagram-konto.
En morgen var tingene anderledes. Han vågnede op til en tekst, der fortalte, at hans adgangskode til Google-kontoen var blevet ændret. Heldigvis var han i stand til at genvinde adgang til sin Gmail-konto, men hackerne havde handlet hurtigt og slettet hans Instagram-konto og stjålet @gb-grebet for sig selv.
Hvad der skete med Grant er specielt bekymrende, fordi det skete trods ham, der brugte 2FA.
Hubs og svage punkter
Både Mat's og Grants hacks var afhængige af hackere, der bruger svage punkter i andre tjenester for at komme ind på en nøgleknavkonto: deres Gmail-konto. Fra dette kunne hackerne foretage en standard-nulstilling af adgangskode på enhver konto, der er knyttet til den e-mail-adresse. Hvis en hacker fik adgang til min Gmail, kunne de få adgang til min konto her på MakeUseOf, min Steam-konto og alt andet.
Mat har skrev en fremragende, detaljeret redegørelse for nøjagtigt, hvordan han blev hacket. Det forklarer, hvordan hackerne fik adgang ved hjælp af svage punkter i Amazons sikkerhed for at overtage hans konto, brugte informationen de fik derfra for at få adgang til hans Apple-konto og brugte den derefter til at komme ind på hans Gmail-konto - og hele hans digitale liv.
Grants situation var anderledes. Mat's hack ville ikke have fungeret, hvis han havde aktiveret 2FA på sin Gmail-konto. I Grants tilfælde kom de omkring det. Specifikationerne for, hvad der skete med Grant, er ikke så klare, men nogle detaljer kan udledes. Grant skriver på sin Ello-konto:
Så vidt jeg kan vide, begyndte angrebet faktisk med min mobiltelefonudbyder, som på en eller anden måde gjorde det muligt et visst niveau af adgang eller socialt engineering på min Google-konto, som derefter gjorde det muligt for hackerne at modtage en e-mail til nulstilling af adgangskode fra Instagram, hvilket gav dem kontrol over kontoen.
Hackerne aktiverede viderestilling af opkald på hans mobiltelefonkonto. Hvorvidt dette gjorde det muligt at sende 2FA-koden til dem, eller om de brugte en anden metode til at omgå det, er uklart. Uanset hvad, ved at kompromittere Grants mobiltelefonkonto fik de adgang til hans Gmail og derefter hans Instagram.
At undgå denne situation selv
For det første er den vigtigste afhentning herfra ikke, at 2FA er brudt og ikke værd at opsætte. Det er en fremragende sikkerhedsopsætning, du skal bruge; det er bare ikke skudsikkert. I stedet for at bruge dit telefonnummer til godkendelse, kan du gøre det gøre det mere sikkert ved hjælp af Authy eller Google Authenticator Kan verifikation i to trin være mindre irriterende? Fire hemmelige hacks garanteret at forbedre sikkerhedenØnsker du kuglesikker kontosikkerhed? Jeg foreslår stærkt, at du aktiverer, hvad der kaldes "to-faktor" -godkendelse. Læs mere . Hvis Grants hackere formåede at omdirigere bekræftelsesteksten, ville dette have stoppet den.
For det andet skal du overveje, hvorfor folk ønsker at hacke dig. Hvis du har værdifulde brugernavne eller domænenavne, har du en øget risiko. Tilsvarende, hvis du er en berømthed, du er mere tilbøjelig til at blive hacket 4 måder at undgå at blive hacket som en berømthedLækkede berømthedsnøgenheder i 2014 fik overskrifter over hele verden. Sørg for, at det ikke sker med dig med disse tip. Læs mere . Hvis du ikke er i nogen af disse situationer, er det mere sandsynligt, at du bliver hacket af en, du kender, eller i et opportunistisk hack, efter at din adgangskode er lækket online. I begge tilfælde er det bedste forsvar sikre, unikke adgangskoder til hver enkelt tjeneste. Jeg bruger personligt 1Password som er en nyttig måde at sikre dine adgangskoder på Lad 1Password for Mac styre dine adgangskoder og sikre dataPå trods af den nye iCloud Keychain-funktion i OS X Mavericks foretrækker jeg stadig kraften i at styre mine adgangskoder i AgileBits klassiske og populære 1Password, nu i sin fjerde version. Læs mere og er tilgængelig på alle større platforme.
For det tredje skal du minimere virkningen af hub-konti. Hubkonti gør livet let for dig, men også for hackere. Opret en hemmelig e-mail-konto, og brug den som en nulstilling af adgangskode til dine vigtige onlinetjenester. Mat havde gjort dette, men angriberen var i stand til at se de første og sidste bogstaver i det; de så m•••• [email protected]. Vær lidt mere fantasifuld. Du skal også bruge denne e-mail til vigtige konti. Især dem, der har knyttet finansielle oplysninger som Amazon. På den måde, selvom hackere får adgang til dine hub-konti, får de ikke adgang til vigtige tjenester.
Endelig skal du undgå at sende følsomme oplysninger online. Mat's hackere fandt hans adresse ved hjælp af et WhoIs-opslag - der fortæller dig oplysninger om, hvem der ejer et websted - som hjalp dem med at komme ind på hans Amazon-konto. Grants cellenummer var sandsynligvis også tilgængeligt et sted online. Begge deres hub-e-mail-adresser var offentligt tilgængelige, hvilket gav hackere et udgangspunkt.
Jeg elsker 2FA, men jeg kan forstå, hvordan dette ville ændre nogle menneskers mening om det. Hvilke skridt tager du for at beskytte dig selv efter Mat Honan og Grant Blakeman hacks?
Billedkreditter: 1Password.
